Des attaquants exploitent les publicités Google Ads et les chats partagés légitimes de Claude.ai dans une campagne de malvertising en cours contre les utilisateurs de macOS.
Résultat de recherche sponsorisé Google pour ‘claude download mac’
(BleepingComputer)
Des chats partagés Claude.ai détournés contre les machines Apple
Berk Albayrak, ingénieur sécurité chez Trendyol Group, a repéré cette opération et l’a signalée sur LinkedIn.
Alerte d’un chercheur sur la campagne de malvertising
Albayrak a découvert un chat partagé sur Claude.ai qui se fait passer pour un guide officiel d’installation de « Claude Code on Mac », soi-disant édité par Apple Support.
Ce chat incite les victimes à ouvrir le Terminal et à exécuter une commande qui télécharge discrètement un malware sur leur Mac.
Lors de la vérification des découvertes d’Albayrak, BleepingComputer a identifié un second chat partagé similaire, utilisant une infrastructure distincte.
Ces deux chats adoptent une structure et une approche de social engineering identiques, avec des domaines et charges utiles différents. Ils restaient publics au moment de l’analyse.
Chat partagé Claude.ai avec instructions malveillantes
(BleepingComputer)
Les actions du malware sur macOS
Les instructions encodées en base64 affichées dans le chat téléchargent un script shell depuis des domaines comme :
- Dans la variante repérée par Albayrak [VirusTotal] : hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
- Dans celle observée par BleepingComputer [VirusTotal] : hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
Le fichier loader.sh contient des instructions shell compressées avec Gunzip.
Code base64 récupère la charge loader.sh de premier stade
(BleepingComputer)
Ce script s’exécute entièrement en mémoire, sans traces évidentes sur disque.
BleepingComputer a noté que le serveur délivre une version obfuscée unique à chaque requête, via une technique de livraison polymorphe, compliquant la détection par hachage ou signature.
La variante de BleepingComputer vérifie d’abord la présence de claviers russes ou de la région CIS. En cas de détection, le script s’arrête et envoie un signal cis_blocked au serveur des attaquants.
Script shell exécutant le malware macOS (BleepingComputer)
Avant de continuer, il collecte l’IP externe, le nom d’hôte, la version du système et la locale clavier de la victime, puis transmet ces données aux attaquants, indiquant une sélection ciblée.
Le script charge ensuite une charge de second stade exécutée via osascript, le moteur de script intégré à macOS, pour une exécution de code à distance sans binaire traditionnel.
La variante d’Albayrak omet ces étapes de profilage et passe directement à l’exécution.
Elle vole les identifiants de navigateurs, cookies et contenus du Keychain macOS, les compacte et les exfiltre. Albayrak l’a identifiée comme une variante de l’infostealer MacSync.
Variante d’Albayrak sans étape de fingerprinting
(BleepingComputer)
Une URL légitime devient vecteur d’attaque
Le malvertising sert souvent de vecteur récurrent pour les malwares.
BleepingComputer a couvert des campagnes similaires visant des recherches pour des logiciels comme GIMP, avec des pubs Google vers des sites phishing imitant des domaines légitimes.
Ici, les pubs renvoient vers le vrai domaine claude.ai d’Anthropic, car les instructions malveillantes résident dans la fonctionnalité de chats partagés de la plateforme.
Les attaquants ont déjà abusé de chats partagés sur des plateformes IA comme ChatGPT et Grok de manière comparable.